Ciberinteligencia para la Mitigación de Amenazas en Ciberseguridad

Abstract

El presente Trabajo de Fin de Máster analiza la campaña de ciberespionaje llevada a cabo supuestamente por el grupo APT29 en 2020, centrada en el ataque a la cadena de suministro del software Orion de SolarWinds. Este ataque, es considerado uno de los más importantes y sofisticados de la última década, ya que afectó a miles de organizaciones públicas y privadas a nivel global incluyendo agencias gubernamentales y empresas tecnológicas.

El objetivo principal de este trabajo es estudiar el ataque desde un enfoque de ciberinteligencia, clasificando las tácticas, técnicas y procedimientos (TTPs) utilizados por el grupo con apoyo del framework MITRE ATT&CK. También, se desarrolla una línea temporal detallada de los eventos, y se evalua el impacto económico, legal, político y reputacional del ciberataque. Por otro lado, se examinan las medidas de mitigación adoptadas y se analizan las posibles estrategias que podrían haber prevenido o reducido el impacto del ataque.

Para llevar a cabo esta investigación, se han combinado fuentes OSINT con el uso de la plataforma OpenCTI. Esto ha permitido recopilar, analizar y visualizar mejor la amenaza a la que se enfrentaban. Además, se contextualiza el marco normativo actual y su evolución a lo largo de los años, destacando la necesidad de disponer de regulaciones más estrictas en la seguridad de la cadena de suministro.

Este proyecto demuestra cómo la ciberinteligencia juega un papel fundamental a la hora de anticiparse a amenazas complejas, reforzar la capacidad de respuesta de las organizaciones y mejorar la toma de decisiones estratégicas en el ámbito de la ciberseguridad.

The current Master’s thesis analyzes the cyber‑espionage campaign allegedly carried out by the APT29 group in 2020, focused on the supply‑chain attack against SolarWinds’ Orion software. This attack is considered one of the most significant and sophisticated of the last decade, as it affected thousands of public and private organizations worldwide, including government agencies and technology companies.

The main goal of this work is to study the attack from a cyber‑intelligence perspective, classifying the tactics, techniques, and procedures (TTPs) used by the group with the support of the MITRE ATT&CK framework. A detailed timeline of events is also developed, and the cyberattack's economic, legal, political, and reputational impact is assessed. In addition, the mitigation measures adopted are examined, and possible strategies that could have prevented or reduced the impact of the attack are analyzed.

To conduct this research, OSINT sources were combined with the use of the OpenCTI platform. This approach made it possible to better collect, analyze, and visualize the threat faced. Furthermore, the current regulatory framework and its evolution over the years are contextualized, highlighting the need for stricter regulations on supply‑chain security.

This project demonstrates how cyber‑intelligence plays a fundamental role in anticipating complex threats, strengthening organizations’ response capabilities, and improving strategic decision‑making in cybersecurity.